Weniger als die Hälfte der befragten Entscheidungsträger in deutschen und österreichischen Firmen stuft die eigenen unternehmenskritischen Daten als „komplett sicher“ ein. So lautet ein zentrales Ergebnis des aktuellen Risk Value-Reports von NTT Security.
Bei den Herausforderungen in puncto Sicherheit setzt laut dem Risk Value-Report das Umdenken erst zögerlich ein. Nach wie vor geht laut Studie die Mehrheit der befragten Unternehmen in Deutschland und Österreich davon aus, dass sie vor Sicherheitsvorfällen nicht ausreichend geschützt ist. 52 Prozent rechnen mit einer bevorstehenden Verletzung der Informationssicherheit; Im Vergleich zur Untersuchung des Vorjahres (51 Prozent) ist dieser Wert nahezu unverändert. Die Befragten schätzen, dass die Behebung eines entstandenen Schadens rund zwölf Wochen dauert und durchschnittlich Kosten in Höhe von mehr als 1,1 Millionen Euro verursacht. Nur 46 Prozent meinen, dass die unternehmenskritischen Daten sicher sind. Ein beachtlicher Teil der Befragten (28 Prozent) weiß überhaupt nicht, an welchem physischen Ort sich diese Daten konkret befinden.
Den Risk Value-Report erstellt das Marktforschungsunternehmen Vanson Bourne jährlich im Auftrag von NTT Security. Zwischen März und Mai 2017 hat Vanson Bourne 1.350 Nicht-IT-Entscheider in Deutschland und Österreich (250 Teilnehmer), Großbritannien und den USA (jeweils 200 Teilnehmer) sowie in Australien, Frankreich, Hongkong, Norwegen, Schweden, der Schweiz und Singapur (jeweils 100 Teilnehmer) befragt. Die in Deutschland, Österreich, Frankreich, Großbritannien und den USA befragten Unternehmen beschäftigen mehr als 500 Mitarbeiter.
Großen Risiken stehen eher geringe Investitionen gegenüber
Widersprüchlich fallen zwei weitere Ergebnisse der Studie aus: die Auswirkungen eines Sicherheitsvorfalls auf das eigene Unternehmen und die Höhe der Investitionen in die IT-Sicherheit. 96 Prozent der Befragten sind der Meinung, dass ein Sicherheitsvorfall mit Datendiebstahl gravierende negative Auswirkungen für das Unternehmen hat. Genannt wurden Verlust des Kundenvertrauens (47 Prozent), Beeinträchtigung der Reputation (46 Prozent) und direkte finanzielle Einbußen (42% Prozent. Die Investitionen der Unternehmen in die IT-Sicherheit fließen trotz dieser Bedrohung weiterhin eher spärlich. Im Vergleich zur Studie von 2016 steigen diese Ausgaben von 11 auf 15 Prozent des IT-Gesamtbudgets.
„Neben der Höhe der Investitionen, die wir als zu gering einschätzen, ist auch die Art und Weise der Investitionsentscheidungen ausschlaggebend“, erläutert Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Vielfach wird unserer Erfahrung nach neuen Gefahren mit der Implementierung weiterer Sicherheitslösungen begegnet. Kostspielige Insellösungen und schwer zu managende Flickenteppiche sind die Folge.“ Umgesetzt werden sollte laut NTT Security ein ganzheitliches Lösungskonzept, das den kompletten Sicherheitsbedarf in Abhängigkeit vom spezifischen Risikoprofil des Unternehmens abdeckt. „Mit reinem Infrastruktur- und Technologie-Security-Management ist heutigen gezielten Bedrohungssituationen nicht mehr adäquat beizukommen“, ergänzt Grunwitz. „Sämtliche Sicherheitsmaßnahmen müssen Bestandteil eines durchgängigen Risikomanagements sein, mit dem die gesamte Wertschöpfungskette eines Unternehmens abgesichert wird, von den Daten über die Business-Anwendungen bis zu den modernen, digitalen Arbeitsumgebungen.“
Investitionen in Incident-Response-Maßnahmen nehmen zu
Die Untersuchung zeigt aber auch positive Entwicklungen. So hat sich beispielsweise die Erkenntnis durchgesetzt, dass Sicherheitsvorfälle nicht gänzlich auszuschließen sind. Infolgedessen nähmen auch die Investitionen in Incident-Response-Maßnahmen zu. Dennoch verfügten in Deutschland und Österreich derzeit lediglich 42 Prozent der Unternehmen über einen Incident-Response-Plan. Allerdings befänden sich 36 Prozent momentan bereits im Implementierungsprozess und weitere 11 Prozent der Befragten planten die Umsetzung entsprechender Maßnahmen in naher Zukunft.
Ebenfalls positiv hervorzuheben sei es, dass immerhin 53 Prozent der Befragten in Deutschland und Österreich wüssten, dass sie von der neuen Datenschutz-Grundverordnung der EU betroffen sind. In der Schweiz liegt dieser Wert sogar bei 58 Prozent, global bei 40 Prozent.
Managed Services im Bereich Security stehen vor einem Aufschwung
Im Trend liegen laut Studie Managed Services im Bereich Security. Aktuell nutzen lediglich 3 Prozent der befragten Unternehmen in Deutschland und Österreich einen solchen Service. 44 Prozent der Befragten planen allerdings, künftig auf das Angebot von Managed-Security-Services-Providern zurückzugreifen. 25 Prozent wollen eine solche Möglichkeit zumindest in der Zukunft in Betracht ziehen. Haupttreiber für die verstärkte Orientierung hin zu Managed Security Services sind neben der Verfügbarkeit besserer und moderner Technologien (17Prozent), der Zugriff auf Expertenwissen (29 Prozent) sowie der Mangel an ausreichend interner IT-Security-Expertise (25Prozent). Auch die EU-Datenschutz-Grundverordnung, welche ab 2018 eine Datenklassifikation und ein Datenmanagement nötig mache, beschleunige die Nutzung von Managed Security Services.
Das „Risk Value Executive Summary“ steht zum kostenlosen Download unter www.nttsecurity.com/de/RiskValue2017 bereit. Jürgen Frisch
